다음을 통해 공유


DEP(데이터 실행 방지)는 Windows XP 및 Windows Server 2003부터 운영 체제에 기본 제공되는 시스템 수준 메모리 보호 기능입니다. DEP를 사용하면 시스템에서 하나 이상의 메모리 페이지를 실행 불가능으로 표시할 수 있습니다. 메모리 영역을 실행 불가능으로 표시하면 해당 메모리 영역에서 코드를 실행할 수 없으므로 버퍼 오버런을 악용하기가 더 어려워집니다.

DEP는 기본 힙, 스택 및 메모리 풀과 같은 데이터 페이지에서 코드가 실행되지 않도록 방지합니다. 애플리케이션이 보호되는 데이터 페이지에서 코드를 실행하려고 하면 메모리 액세스 위반 예외가 발생하고 예외가 처리되지 않으면 호출 프로세스가 종료됩니다.

DEP는 모든 익스플로잇에 대한 포괄적인 방어용이 아닙니다. 애플리케이션을 보호하는 데 사용할 수 있는 또 다른 도구입니다.

데이터 실행 방지 작동 방식

애플리케이션이 보호된 페이지에서 코드를 실행하려고 하면 애플리케이션은 상태 코드 STATUS_ACCESS_VIOLATION 예외를 받습니다. 애플리케이션이 메모리 페이지에서 코드를 실행해야 하는 경우 적절한 가상 메모리 보호 특성을 할당하고 설정해야 합니다. 할당된 메모리는 메모리를 할당할 때 PAGE_EXECUTE, PAGE_EXECUTE_READ, PAGE_EXECUTE_READWRITE 또는 PAGE_EXECUTE_WRITECOPY 표시해야 합니다. mallocHeapAlloc 함수를 호출하여 수행한 힙 할당은 실행 불가능합니다.

애플리케이션은 기본 프로세스 힙 또는 스택에서 코드를 실행할 수 없습니다.

DEP는 부팅 구성 데이터의 실행 안 함 페이지 보호 정책 설정에 따라 시스템 부팅 시 구성됩니다. 애플리케이션은 GetSystemDEPPolicy 함수를 호출하여 현재 정책 설정을 가져올 수 있습니다. 정책 설정에 따라 애플리케이션은 SetProcessDEPPolicy 함수를 호출하여 현재 프로세스에 대한 DEP 설정을 변경할 수 있습니다.

프로그래밍 고려 사항

애플리케이션은 VirtualAlloc 함수를 사용하여 적절한 메모리 보호 옵션을 사용하여 실행 가능한 메모리를 할당할 수 있습니다. 애플리케이션 집합은 최소한 PAGE_EXECUTE 메모리 보호 옵션을 사용하는 것이 좋습니다. 실행 코드가 생성되면 애플리케이션에서 할당된 메모리에 대한 쓰기 액세스를 허용하지 않도록 메모리 보호를 설정하는 것이 좋습니다. 애플리케이션은 VirtualProtect 함수를 사용하여 할당된 메모리에 대한 쓰기 액세스를 허용하지 않습니다. 쓰기 액세스를 허용하지 않는 경우 프로세스 주소 공간의 실행 가능한 영역에 대한 최대 보호가 보장됩니다. 메모리 악용에 노출되는 메모리 양을 최소화하는 가능한 가장 작은 실행 파일 주소 공간을 사용하는 애플리케이션을 만들어야 합니다.

또한 애플리케이션의 가상 메모리 레이아웃을 제어하고 실행 가능한 지역을 만들어야 합니다. 이러한 실행 가능 지역은 실행 가능하지 않은 지역보다 낮은 메모리 공간에 있어야 합니다. 실행 가능하지 않은 지역 아래에 실행 가능 지역을 배치하면 버퍼 오버플로가 메모리의 실행 영역으로 오버플로되는 것을 방지할 수 있습니다.

응용 프로그램 호환성

일부 애플리케이션 기능은 DEP와 호환되지 않습니다. 동적 코드 생성(예: Just-In-Time 코드 생성)을 수행하고 생성된 코드를 실행 권한으로 명시적으로 표시하지 않는 애플리케이션은 DEP를 사용하는 컴퓨터에서 호환성 문제가 있을 수 있습니다. ATL(활성 템플릿 라이브러리) 버전 7.1 이하에 작성된 애플리케이션은 실행 불가능으로 표시된 페이지에서 코드를 실행하려고 시도할 수 있습니다. 그러면 NX 오류가 트리거되고 애플리케이션이 종료됩니다. 자세한 내용은 SetProcessDEPPolicy를 참조하세요. DEP와 호환되지 않는 작업을 수행하는 대부분의 애플리케이션은 제대로 작동하도록 업데이트해야 합니다.

소수의 실행 파일 및 라이브러리에는 이미지 파일의 데이터 섹션에 실행 코드가 포함될 수 있습니다. 경우에 따라 애플리케이션은 데이터 섹션에 작은 코드 세그먼트(일반적으로 썽크라고 함)를 배치할 수 있습니다. 그러나 DEP는 섹션에 실행 가능한 특성이 적용되지 않는 한 메모리에 로드된 이미지 파일의 섹션을 실행 불가능으로 표시합니다.

따라서 데이터 섹션의 실행 코드를 코드 섹션으로 마이그레이션하거나 실행 코드가 포함된 데이터 섹션을 명시적으로 실행 파일로 표시해야 합니다. 실행 파일 특성 (IMAGE_SCN_MEM_EXECUTE)은 실행 코드가 포함된 섹션에 대한 해당 섹션 헤더의 특성 필드에 추가해야 합니다. 섹션에 특성을 추가하는 방법에 대한 자세한 내용은 링커에 포함된 설명서를 참조하세요.

데이터 실행 방지

Windows XP SP2에서 메모리 보호를 구성하는 방법